Download ICS availability statistics (PDF version)
Download ICS vulnerabilities statistics (PDF version)
Generalidades
Los sistemas de control industrial (ICS) son parte de nuestra vida cotidiana: se usan en las industrias de electricidad, agua potable, alcantarillado, gas natural y petróleo, transporte, químico, farmacéutico, pulpa y papel, alimentos y bebidas y fabricación discreta (automotores, aeroespacial y bienes durables). Las ciudades, casas y automóviles inteligentes, y los equipos médicos están controlados por los ICS.
La expansión de Internet hace de los ICS una presa fácil para los ciberpiratas. La cantidad de componentes de ICS accesibles en Internet aumenta de año en año. Tomando en cuenta que inicialmente muchas soluciones y protocolos de ICS estaban diseñados para ambientes aislados, esta accesibilidad a menudo ofrece a los ciberpiratas múltiples capacidades para impactar en las infraestructuras de los ICS debido a la carencia de controles de seguridad. Además, algunos componentes son vulnerables de por sí. La primera información disponible sobre las vulnerabilidades en los componentes de los ICS data de 1997, cuando se publicaron sólo dos de ellas. Desde entonces, su número se ha multiplicado de forma notable. En los últimos cinco años, este número ha aumentado de 19 vulnerabilidades en 2010 a 189 en 2015.
Los ataques sofisticados lanzados contra los ICS ya no son una novedad. Vale la pena recordar un incidente ocurrido en 2015, cuando casi la mitad de las viviendas en Ivano-Frankivsk, Ucrania, quedaron sin electricidad debido a un ciberataque sufrido por la compañía eléctrica Prykarpattyaoblenergo; esta es sólo una de las numerosas víctimas de la campaña BlackEnergy APT.
Otro notable incidente, descrito por Verizon Data Breach Digest, tuvo lugar en 2015; se trató de un ataque contra la infraestructura de los ICS de la compañía de agua potable Kemuri Water Company, en el que los ciberatacantes se infiltraron en el sistema de control de esta compañía y cambiaron los niveles de los químicos utilizados para tratar el agua potable. El ataque se realizó a través de un sistema externo vulnerable que controlaba los controladores lógicos programables (PLCs) que regulan las válvulas y conductos por los que fluyen el agua y los químicos usados para su tratamiento.
También en 2015 se reportaron otros incidentes relacionados con los ICS, como los ataques lanzados contra una planta metalúrgica en Alemania y el aeropuerto Frederic Chopin en Varsovia.
En esta investigación ofrecemos un resumen de la situación actual de la seguridad de los ICS en todo el mundo, desde el punto de vista de las vulnerabilidades y los componentes vulnerables de los ICS accesibles en Internet.
Enfoque del análisis
Este estudio se enfoca en dos áreas: las vulnerabilidades y el acceso a ICS por Internet. La información recogida sobre las vulnerabilidades proviene de fuentes abiertas, por ejemplo las recomendaciones del Equipo de respuesta a ciberemergencias en sistemas de control industrial (ICS-CERT), NVD/CVE, SCADA Strangelove, Siemens Product CERT y otras fuentes en Internet. Los niveles de seguridad para las vulnerabilidades se evaluaron en base al Sistema de puntuación de vulnerabilidades comunes (CVSS) en sus versiones 2 y 3. Se utilizó el CVSS v2 para comparar las estadísticas de vulnerabilidades en los años 2014 y 2015, y para aquellas vulnerabilidades que no tenían asignada una puntuación CVSS v3.
En la segunda parte de los resultados de la investigación (Acceso a ICS por Internet), analizamos la información originada en el motor de búsqueda Shodan con un enfoque pasivo. Para identificar los sistemas ICS en la búsqueda con Shodan, utilizamos una base de datos de huellas digitales que contiene unos 2000 registros y que permite identificar a los fabricantes de productos y las versiones por pancartas.
Principales hallazgos
- Sigue aumentando la cantidad de vulnerabilidades en los componentes ICS. Dada la mayor atención prestada a la seguridad ICS en los últimos años, es posible acceder a más información pública sobre vulnerabilidades en estos sistemas. Sin embargo, las vulnerabilidades pudieron haber estado presentes en estos productos por años antes de que se descubrieran. En 2015 se publicó un total de 189 vulnerabilidades en componentes ICS, y la mayor parte eran críticas (49%) o de riesgo medio (42%).
- Las vulnerabilidades son explotables. 26 de las vulnerabilidades publicadas en 2015 tenían exploits disponibles. Además, para muchas vulnerabilidades (como las contraseñas predeterminadas) no es necesario en absoluto contar con un código exploit para obtener acceso no autorizado al sistema vulnerable. Más aun, nuestros proyectos de evaluación de la seguridad ICS muestran que sus propietarios los consideran “cajas negras”, de manera que no suelen cambiar los permisos predeterminados en los componentes ICS, que podrían utilizarse para controlar el sistema de forma remota. El proyecto SCADAPASS del equipo SCADA Strangelove ofrece una lista de contraseñas ICS predeterminadas conocidas. Actualmente se dispone de información sobre 134 componentes ICS de 50 marcas.
- Las vulnerabilidades ICS están ampliamente diversificadas. En 2015 se encontraron nuevas vulnerabilidades en los componentes ICS de diferentes marcas (55) y tipos (HMI, dispositivos eléctricos, SCADA, dispositivos de redes industriales, PLCs y muchos otros más). La mayor cantidad de vulnerabilidades se detectaron en dispositivos Siemens, Schneider Electric y Hospira. Las vulnerabilidades en los componentes ICS tienen otra naturaleza. Los tipos más conocidos son los desbordamientos de buffer (9% de todas las vulnerabilidades detectadas), el uso de contraseñas predeterminadas (7%) y el cross-site scripting (7%).
- No todas las vulnerabilidades detectadas en 2015 han sido reparadas. Para el 85% de las vulnerabilidades publicadas hay parches y nuevo firmware disponibles; el resto no ha sido reparado o lo ha sido sólo de forma parcial, por distintas razones. La mayoría de las vulnerabilidades sin reparar (14 de 19) son de alto riesgo. Estas vulnerabilidades sin reparar son un riesgo significativo para los propietarios de los sistemas correspondientes, especialmente para aquellos que debido a una inapropiada administración de la configuración de red tienen sus sistemas ICS vulnerables expuestos en Internet. Los ejemplos incluyen las 11.904 interfaces SMA Solar Sunny WebBox disponibles de forma remota que están en riesgo debido al uso de contraseñas predeterminadas. Aunque en el caso de Sunny WebBox esta cantidad se ha reducido notablemente desde 2014 (cuando se detectaron más de 80.000 componentes accesibles por Internet), el número sigue siendo elevado, y el problema de las contraseñas predeterminadas sin resolver (publicado en 2015), está ahora comprometiendo estos sistemas con un riesgo mayor al estimado inicialmente.
- Numerosos componentes de ICS son accesibles en Internet. Descubrimos 220.668 componentes de ICS mediante el motor de búsqueda Shodan. Se encuentran en 188.019 hosts en 170 países. La mayor parte de los hosts con componentes de ICS accesibles a distancia se encuentran en EE.UU. (30,5%) y Europa. Entre los países europeos, Alemania ocupa la primera posición (13,9%), seguido de España (5,9%). Los sistemas disponibles provienen de 133 fabricantes diferentes. Los más populares son Tridium (11,1%), Sierra Wireless (8,1%) y Beck IPC (6,7%).
- Uso amplio de protocolos inseguros por parte de componentes ICS accesibles a distancia. Existe una variedad de protocolos de diseño abierto y por lo tanto inseguros, como HTTP, Niagara Fox, Telnet, EtherNet/IP, Modbus, BACnet, FTP, Omron FINS, Siemens S7 y muchos más. Se usan en 172.338 hosts diferentes, lo que corresponde al 91,6% de todos los dispositivos ICS accesibles externamente que encontramos. Esto les ofrece a los ciberpiratas una variedad de formas para comprometer los dispositivos mediante ataques tipo man-in-the-middle.
- Múltiples componentes vulnerables de ICS son accesibles externamente. Encontramos 13.033 vulnerabilidades en 11.882 hosts (el 6,3% de todos los hosts con componentes accesibles externamente). Las vulnerabilidades más expandidas que descubrimos son Sunny WebBox Hard-Coded Credentials (CVE-2015-3964) y las vulnerabilidades críticas CVE-2015-1015 y CVE-2015-0987 en Omron CJ2M PLC. Al combinar estos resultados con las estadísticas de uso de protocolos inseguros, logramos estimar que el número total de hosts ICS vulnerables es de 172.982 (92%).
- Múltiples industrias afectadas. Detectamos que al menos 17.042 componentes de ICS en 13.698 hosts diferentes en 104 países probablemente pertenecen a grandes compañías, y la accesibilidad de estos componentes en Internet está posiblemente relacionada con altos riesgos. Entre los propietarios, logramos identificar a 1.433 grandes organizaciones, algunas de las cuales pertenecen a las siguientes industrias: electricidad, aeroespacial, trasporte (incluyendo aeropuertos), petróleo y gas, metalurgia, química, agricultura, automotriz, servicios básicos, procesamiento de alimentos y bebidas, construcción, tanques de almacenamiento de líquidos, ciudades inteligentes y fabricantes de ICS. También hay entidades de investigación y educativas, instituciones gubernamentales (incluyendo la policía), centros médicos, organizaciones financieras, hoteles, centros turísticos, museos, bibliotecas, iglesias y muchas empresas pequeñas entre los propietarios de ICS accesibles a distancia. La cantidad de hosts ICS vulnerables accesibles desde el exterior, que posiblemente pertenezcan a grandes organizaciones, es de 12.483 (91,1%), de los cuales 453 (3,3%), pertenecientes a las industrias de energía, transporte, gas, ingeniería, procesamiento de alimentos y bebidas, contienen vulnerabilidades críticas.
Vulnerabilidades ICS por año
Vulnerabilidades ICS en 2015 por nivel de riesgo (CVSS v.2 y CVSS v.3)
Parches para ICS
Principales 20 países por accesibilidad de ICS
Principales 15 protocolos usados por componentes de ICS accesibles externamente
Principales 5 vulnerabilidades en componentes de ICS
ICS accesibles por marca
Los resultados de arriba sólo son estimaciones conservadoras, pues la cantidad real de componentes de ICS accesibles asociados con altos riesgos podría ser mucho mayor.
Conclusión
En lo que a seguridad se refiere, el aislamiento de ambientes críticos ya no puede considerarse como un control de seguridad suficiente para los sistemas ICS. Las exigencias empresariales del siglo XXI requieren la integración de los ICS con redes y sistemas externos. Además, las capacidades, motivaciones y la cantidad de amenazas contra los ambientes ICS están en aumento. Desde discos duros o dispositivos USB flash infectados, hasta conexiones no autorizadas desde redes ICS a Internet mediante teléfonos personales o módems, y desde discos de distribución infectados obtenidos de los fabricantes hasta un infiltrado contratado, todos estos métodos están disponibles para atacantes expertos que pretendan lanzar un ataque contra una red ICS física y lógicamente aislada.
Hoy en día, los propietarios de sistemas ICS deberían estar conscientes de las vulnerabilidades y amenazas modernas, y usar estos conocimientos para mejorar activamente la seguridad de sus entornos ICS. En este punto, es vital el apoyo activo de los fabricantes para la oportuna identificación y reparación de vulnerabilidades en los productos ICS, así como para compartir métodos alternativos para proteger los sistemas antes de que se publiquen los parches.
La naturaleza de los ICS, cuya ciberseguridad está directamente relacionada con su seguridad física, a menudo no recibe el tratamiento esperado bajo tales condiciones. Las empresas pequeñas y medianas, así como las personas, dependen por completo de los fabricantes en cuanto a la seguridad del Internet de las Cosas. Los consumidores no van más allá de las instrucciones básicas que aparecen en los manuales, proporcionando aparatos listos para usar y de fácil acceso, pero vulnerables. Por el contrario, en el sector empresarial, las compañías entienden los altos riesgos relacionados con la configuración incorrecta del ambiente de los ICS. Sin embargo, los propietarios del sistema suelen considerar los dispositivos de ICS como “cajas negras” y temen realizar cambios en su entorno, entre ellos introducir mejoras en la ciberseguridad.
Los hallazgos de este estudio son un recordatorio adicional de que el principio de “Seguridad por oscuridad” no son una base sólida para lograr una protección efectiva contra los ataques modernos, y de que la seguridad de los sistemas de control industrial no debe dar preferencia exclusiva a la seguridad física, porque la seguridad cibernética y la seguridad física en esta área están estrechamente relacionadas.
Panorama de las amenazas contra la ciberseguridad industrial